Wie man ein Penetrationstestsunternehmen auswählt

Risikobewertungen, Informationssicherheitsrichtlinien, jährliche Compliance-Audits, Zertifizierungen. Ihre Organisation investiert erheblich Zeit und Ressourcen in die Implementierung von Sicherheitsprozessen, um sich gegen externe Bedrohungen zu verteidigen.

Aber wie testen Sie diese Abwehrmaßnahmen auf sinnvolle Weise? Ein Penetrationstest kann als Probelauf dienen, um die Stärke Ihrer Sicherheitsmaßnahmen zu bewerten.

Was ist ein Penetrationstest?

Bei einem Penetrationstest, auch bekannt als „Pen-Test“, beauftragt ein Unternehmen einen Dritten, einen simulierten Angriff zu starten, der darauf abzielt, Schwachstellen in seiner Infrastruktur, seinen Systemen und Anwendungen zu identifizieren. Das Unternehmen kann dann die Ergebnisse dieses simulierten Angriffs nutzen, um potenzielle Schwachstellen zu beheben. So können Organisationen ihre allgemeine Sicherheitslage bewerten und stärken.

Penetrationstests mögen wie ein unnötiger Schritt in einem bereits langen Compliance-Prozess erscheinen, aber die Vorteile sind normalerweise die zusätzliche Zeit und Mühe wert. Hier sind einige Vorteile von Penetrationstests:

Kostspielige Verstöße verhindern

Da Angriffe immer häufiger werden und neue Formen annehmen, verlassen sich Unternehmen zunehmend auf Sicherheitstests, um potenzielle Sicherheitslücken zu identifizieren und zu beheben.

Eine Überprüfung von Cybersecurity-Verstößen seit 2011 ergab, dass die durchschnittlichen Kosten eines Cyberangriffs bei einem börsennotierten Unternehmen 116 Millionen US-Dollar betragen. Einige der kostspieligsten Verstöße umfassen Equifax im Jahr 2017 (1,7 Milliarden US-Dollar), The Home Depot im Jahr 2014 (298 Millionen US-Dollar), Target im Jahr 2013 (292 Millionen US-Dollar) und Marriott im Jahr 2018 (118 Millionen US-Dollar).

Kundenzufriedenheit stärken

Kunden können verlangen, dass Sie im Rahmen ihrer Beschaffungs-, Rechts- und Sicherheits-Due-Diligence einen jährlichen Pen-Test von Dritten durchführen.

Zweifel ausräumen

Ein Pen-Test kann nachweisen, dass frühere Anwendungssicherheitsprobleme, falls vorhanden, behoben wurden, um das Vertrauen der Kunden und Partner wiederherzustellen.

Hilfe bei der Einhaltung von Vorschriften

Pen-Tests sind häufig erforderlich, um bestimmte regulatorische und Compliance-Frameworks zu erfüllen, darunter SOC 2, GDPR, ISO 27001, PCI DSS, HIPAA und FedRamp.

Anbieteranforderungen erfüllen

Planen Sie die Integration mit Diensten wie Google Workplace? In diesem Fall kann Google von Ihnen verlangen, dass Sie einen Pen-Test durchführen, um auf bestimmte eingeschränkte APIs zugreifen zu können.

Was passiert während eines Penetrationstests?

Nachdem wir nun behandelt haben, was Penetrationstests sind und warum sie wichtig sind, kommen wir zu den Details des Prozesses.

Zunächst, wer führt Penetrationstests durch?

Bei Penetrationstests laden Sie im Wesentlichen jemanden ein, um zu versuchen, in Ihre Systeme einzubrechen, damit Sie andere Menschen davon abhalten können. Die besten Ergebnisse erzielen Sie, wenn ein Penetrationstester eingesetzt wird, der kein Vorwissen oder Verständnis für Ihre Architektur hat.

Aus diesem Grund werden Penetrationstests meist von externen Beratern durchgeführt. Diese Sicherheitsexperten sind darin geschult, Schwachstellen zu identifizieren, zu nutzen und zu dokumentieren und ihre Erkenntnisse zu nutzen, um Ihnen zu helfen, Ihre Sicherheitslage zu verbessern. Die meisten Penetrationstester sind Sicherheitsexperten oder erfahrene Entwickler, die eine Zertifizierung für Penetrationstests haben. Es sind auch Penetrationstools wie NMap und Nessus verfügbar.

Als nächstes, wie werden Penetrationstests durchgeführt? Generell umfasst ein Penetrationstest folgende Schritte:

Der Prozess des Penetrationstests

Abgrenzung

Welche Betriebssysteme und Abgrenzungsmethoden werden in Ihrem Penetrationstest verwendet? Da der Penetrationstester im Rahmen seiner Arbeit auf private Informationen zugreifen könnte, sollten beide Parteien vor Beginn des Penetrationstests eine Geheimhaltungsvereinbarung unterzeichnen.

Informationsbeschaffung

Sobald Sie sich über den Umfang Ihres Penetrationstests einig sind, wird der Penetrationstester öffentlich verfügbare Informationen sammeln, um besser zu verstehen, wie Ihr Unternehmen funktioniert. Das könnte den Einsatz von Web-Crawlern umfassen, um die attraktivsten Ziele in Ihrer Unternehmensarchitektur zu identifizieren, wie Netzwerknamen, Domainnamen und einen Mailserver.

Identifizierung von Bedrohungen und Schwachstellen

Der Penetrationstester identifiziert potenzielle Schwachstellen und erstellt einen Angriffsplan. Sie werden nach Schwachstellen und offenen Ports oder anderen Zugangspunkten suchen, die Informationen über die Systemarchitektur liefern können.

Ausnutzung von Schwachstellen

Der Penetrationstester wird identifizierte Schwachstellen mittels gängiger Web-App-Angriffe wie SQL-Injection oder Cross-Site Scripting ausnutzen und versuchen, die Folgen eines tatsächlichen Angriffs nachzustellen. Das bedeutet typischerweise, dass der Penetrationstester versucht, Zugang zu eingeschränkten, vertraulichen und/oder privaten Daten zu erlangen.

Aufrechterhaltung von Exploits / Laterale Bewegung

Während der Penetrationstester den Zugang zu einem System aufrechterhält, wird er mehr Daten sammeln. Das Ziel ist es, eine dauerhafte Präsenz zu imitieren und tiefen Zugang zu erlangen. Fortgeschrittene Bedrohungen verweilen oft monatelang (oder länger) in einem System, um auf die sensibelsten Daten einer Organisation zugreifen zu können.

Behebung

Die Pen-Test-Firma stellt Ihnen typischerweise einen ersten Bericht ihrer Erkenntnisse zur Verfügung und gibt Ihnen die Möglichkeit, gefundene Probleme zu beheben. Nach Abschluss der Behebung wird die Firma erneut versuchen, diese bekannten Exploits auszuführen, um herauszufinden, ob die Korrekturen ausreichen, um zukünftige Angriffe zu verhindern.

Analyse und Berichterstattung

Der Penetrationstester erstellt einen Abschlussbericht, der Folgendes zusammenfasst:

1. Ausnutzbare Schwachstellen und die potenziellen Auswirkungen eines Einbruchs. Schwachstellen sollten nach Risikoniveau und Typ eingestuft werden.
2. Eingeschränkte, vertrauliche und/oder private Daten, auf die zugegriffen wurde.
3. Die Dauer, die der Penetrationstester unentdeckt in den Systemen des Unternehmens geblieben ist.
4. Ob die identifizierten Schwachstellen erfolgreich behoben wurden.

Letztendlich sollte dieser Bericht zwei Dinge abdecken: die größten strategischen Bedrohungen aus einer Geschäftsperspektive (für das Management) und technische Bedrohungen, die behoben werden sollten (z.B. durch Sicherheits-Upgrades).

Welche Arten von Penetrationstests gibt es?

Es gibt zwei allgemeine Ansätze, an die man bei Penetrationstests denken kann: Testdesign und Angriffsmethoden.

Arten von Penetrationstests

Testdesign

Black box or external pen test

Da die Pen-Tester keine Informationen über die Umgebung erhalten, die sie bewerten, simulieren Black-Box-Tests einen Angriff von einem außenstehenden Dritten, der mit dem Internet verbunden ist und keine vorherigen oder internen Kenntnisse über das Unternehmen hat.

Double-blind test

Ein „Double-Blind“-Penetrationstest ist eine spezialisierte Art von Black-Box-Test. Bei Double-Blind-Pen-Tests stellt das Unternehmen, das den Pen-Test durchführt, sicher, dass so wenige Mitarbeiter wie möglich über den Test informiert sind. Diese Art von Pen-Test kann die Sicherheitslage Ihrer Mitarbeiter intern genau beurteilen.

Gray box test

Bei einem Gray-Box-Pen-Test erhält der Pen-Tester begrenzte Informationen über die Umgebung, die er bewertet, sowie ein Standardbenutzerkonto. Damit können sie das Zugriffs- und Informationsniveau bewerten, das ein legitimer Benutzer eines Kunden oder Partners mit einem Konto hätte.

White box test

Bei einem White-Box-Pen-Test erhält der Pen-Tester internes Wissen über die interne Architektur der Umgebung, die er bewertet. Dies ermöglicht es ihnen, den Schaden zu bestimmen, den ein böswilliger aktueller oder ehemaliger Mitarbeiter dem Unternehmen zufügen könnte.

Internal pen test

Ein interner Pen-Test ist ähnlich wie ein White-Box-Test. Bei einem internen Pen-Test erhält der Pen-Tester viele spezifische Informationen über die Umgebung, die er bewertet, z.B. IP-Adressen, Netzwerk-Infrastrukturschemata und verwendete Protokolle sowie Quellcode.

Attack methods

Sie können auch Pen-Tester mit Fachkenntnissen in bestimmten ethischen Hacking-Methoden anfordern, wenn Sie glauben, dass Ihr Unternehmen besonders anfällig ist. Hier sind einige Beispiele für Penetrationstests:

• Anwendungstests, einschließlich mobiler Anwendungen, Software- und Webanwendungen.
• Netzwerktests, einschließlich Routing-Problemen, Firewalls, Port-Scannen, FTP und sicheren Socket-Verbindungen.
• Drahtlostests, einschließlich drahtloser Netzwerke, unsicherer Hotspots und Zugangspunkte.
• Physische Tests, einschließlich Brute-Force- und Vor-Ort-Angriffe, um physische Netzwerkgeräte und Zugangspunkte zu erreichen.
• Social-Engineering-Tests wie Phishing, die darauf abzielen, Mitarbeiter dazu zu bringen, vertrauliche Informationen preiszugeben, normalerweise telefonisch oder per E-Mail.
• Cloud-Tests, einschließlich Cloud-Speicher und Dokumentenhandling.
• Client-seitige Tests, bei denen Schwachstellen in client-seitigen Softwareprogrammen ausgenutzt werden.

Wie viel kostet ein Penetrationstest?

Die Kosten eines Penetrationstests werden weitgehend durch den Umfang und die Komplexität der Systeme des Unternehmens bestimmt. Je mehr physische und Daten-Assets, Computersysteme, Anwendungen/Produkte, Zugangspunkte, physische Bürostandorte, Anbieter und Netzwerke Sie haben, desto teurer ist Ihr Penetrationstest wahrscheinlich.

Die Kosten Ihres Pen-Tests können auch durch die Dauer des Engagements, das Erfahrungsniveau des gewählten Pen-Testers, die zur Durchführung des Pen-Tests erforderlichen Werkzeuge und die Anzahl der beteiligten externen Pen-Tester beeinflusst werden.

Alex Lauerman, Gründer & Principal Security Consultant bei TrustFoundry, erklärt: "Penetrationstests können von weniger als 1.000 USD für einen extrem engen Umfang bis zu 100.000 USD oder mehr für eine sehr große Schwachstellenbewertung kosten. Die größten und teuersten Sicherheitsbewertungen bestehen oft aus mehreren Komponenten, wie z.B. Netzwerk-Penetrationstests, Anwendungs-Penetrationstests und mobile Penetrationstests."

Laut Lauerman kosten die meisten Pen-Tests zwischen 5.000 und 20.000 USD, wobei der Durchschnitt zwischen 8.000 und 10.000 USD liegt.

Erfordern SOC 2 und ISO 27001 einen Penetrationstest?

Die kurze Antwort lautet: meistens ja.

Im Allgemeinen erfüllen Sie die Prüfanforderungen von SOC 2 und ISO 27001> für ausreichende Nachweise, wenn Sie mindestens jährlich einen Penetrationstest durch einen seriösen Drittanbieter durchführen und sicherstellen, dass alle identifizierten kritischen und Hochrisikoschwachstellen identifiziert und behoben werden.

SOC-2-Anforderungen an Penetrationstests

Obwohl ein Penetrationstest keine ausdrückliche Anforderung für die SOC-2-Konformität ist, beinhalten fast alle SOC-2-Berichte sie, und viele Prüfer verlangen einen. Sie sind auch eine sehr häufige Kundenanforderung, und wir empfehlen dringend, einen umfassenden Penetrationstest von einem seriösen Anbieter durchzuführen.

In Fällen, in denen Prüfer keinen abgeschlossenen Penetrationstest eines Drittanbieters verlangen, müssen Sie in der Regel dennoch Verwundbarkeitsscans durchführen, die Risiken dieser Scans bewerten und regelmäßig Schritte unternehmen, um die höchsten Risiken zu mindern.

ISO-27001-Anforderungen an Penetrationstests

ISO 27001 verlangt von Unternehmen, technische Schwachstellen zu verhindern (Steuerung A.12.6.1, Anhang A, ISO 27001:2013). Das Durchführen von Schwachstellen-Scans und Analysen in Ihrem Netzwerk und Ihren Informationssystemen identifiziert Sicherheitsrisiken, sagt Ihnen jedoch nicht unbedingt, ob diese Schwachstellen ausnutzbar sind.

Sie müssen Schwachstellen-Scans mit einem Penetrationstest eines Drittanbieters kombinieren, um Ihrem Prüfer genügend Nachweise dafür zu liefern, dass Ihnen Schwachstellen bekannt sind und Sie verstehen, wie diese ausgenutzt werden können.

Wie man ein Penetrationstestsunternehmen auswählt

Die Sicherheits- und Compliance-Anforderungen jedes Unternehmens sind einzigartig, aber hier sind einige Tipps und Best Practices zur Auswahl eines Penetrationstestsunternehmens:

Art des technischen Penetrationstests

Penetrationstests unterscheiden sich im Umfang und im Testdesign, daher sollten Sie beides mit potenziellen Penetrationstestsunternehmen besprechen. Für den Umfang sollten Sie überlegen, ob Sie einen Penetrationstest für Ihr gesamtes Unternehmen, ein bestimmtes Produkt, nur Webanwendungen oder nur Netzwerk/Infrastruktur wünschen.

Für das Testdesign müssen Sie in der Regel entscheiden, wie viele Informationen Sie den Penetrationstestern zur Verfügung stellen möchten. Mit anderen Worten: Möchten Sie einen Angriff durch einen Insider oder einen Außenseiter simulieren?

Transparenz

Bitten Sie Ihren Anbieter um einen klaren Arbeitsauftrag, der Folgendes abdeckt:

• Sicherheit, einschließlich Überprüfungen des Hintergrunds des Penetrationstesters und kontinuierlicher Sicherheitsrezertifizierung
• Zeitraum der Beteiligung
• Datenschutzbedenken
• Einvernehmlich vereinbarte „tabu“ Bereiche für Penetrationstests, falls vorhanden
• Anzahl der angesprochenen Angriffspunkte

Idealerweise sollte Ihr Penetrationstest eine Vielzahl von Netzwerksicherheits-, Host- und Anwendungsangriffsvektoren abdecken. Beispiele hierfür sind die OWASP Top 10, DDoS und DDoS, IDOR, Remote-Code-Ausführung, DNS-Brute-Force, DNS-Subdomain-Übernahme, veraltete Verschlüsselungen und Cross-Site-Scripting.

Erfahrung des Pen-Testers und Größe des Testteams

Wenn bestimmte Angriffsvektoren für Ihr Unternehmen wichtig sind, stellen Sie Teams von Pen-Testern mit unterschiedlichen Spezialisierungen ein.

Sie sollten auch darauf achten, Pen-Tester mit einer Mischung aus relevanter technischer Ausbildung und praktischer Erfahrung zu finden. Relevante Zertifizierungen umfassen Certified Ethical Hacker (CEH), Licensed Penetration Tester (LPT), GIAC Exploit Researcher & Advanced Penetration Tester (GXPN) und Offensive Security Certified Professional (OSCP).

Flexibilität

Wenn Ihr Unternehmen über eine Vielzahl komplexer Vermögenswerte verfügt, sollten Sie einen Anbieter finden, der Ihren gesamten Pen-Test anpassen kann, einschließlich der Priorisierung der Vermögenswerte, der Gewährung zusätzlicher Anreize für die Identifizierung und Ausnutzung spezifischer Sicherheitslücken und der Zuweisung von Pen-Testern mit spezifischen Fähigkeiten.

Haftpflichtversicherung

Stellen Sie sicher, dass Ihr Pen-Test-Anbieter über ausreichende Versicherungen verfügt, um das Potenzial von kompromittierten oder verletzten Daten durch Pen-Testing abzudecken.

Qualität des Abschlussberichts

Sie sollten starke Berichtserwartungen festlegen, die sowohl strategische, verständliche Sicherheitsberatung als auch bewertete technische Schwachstellen mit Vorschlägen zur Behebung, einschließlich spezifischer Instanzen, bieten. Wichtige Metriken für Penetrationstests umfassen die Kritikalität oder Rangfolge des Problems/der Schwachstelle, den Typ oder die Klasse der Schwachstelle und die prognostizierten Kosten pro Fehler.

Bereit für Ihren ersten Pen-Test?

Wir haben das Glück, mit fantastischen Penetrationstesting-Diensten zusammenzuarbeiten. Nachdem Ihr Penetrationstest abgeschlossen ist, geben wir Ihnen Ratschläge, wie Sie die Ergebnisse Ihres Pen-Tests interpretieren und die Sicherheitslage Ihres Unternehmens stärken können. Fordern Sie eine Demo an oder wenden Sie sich an sales@secureframe.com, wenn Sie mehr erfahren möchten.